Category: Государственный уровень

На данный момент существует два классических способа «выследить» телефон: активный и пассивный.

Пассивный заключается в записи историй подключений вышками. Такая «запись» состоит из ID вышки, IMEI устройства, и примерного времени подключения. Через определённый интервал они попадают в «центральную» базу данных, что позволяет государственным органам быстро составить примерную «картину».

Активный работает путём использования сотовых вышек для вычисления координат напрямую. Более «техническое» название данного «мероприятия» — триангуляция, и выглядит она так: ваш телефон «принудительно» переключают между тремя ближайшими вышками, и определяют примерное местоположение по разности мощности сигнала. Стоит отметить, что не обязательно использовать именно три вышки — чем больше, тем лучше.

Точность обоих является «замечательной» в мегаполисах, но по мере снижения концентрации сотовых вышек (например, в поселках) падает в геометрической прогрессии.

Примитивные технологии отслеживания поведения радио-чипов уже применяются на массовых мероприятиях (в особенности государственного характера) для «вычисления» устройств с «нарисованным» IMEI.

Стоит отметить, что продвинутые технологии отслеживания «поведения» чипов сейчас не применяются активно ввиду их относительной «молодости» и консерватизма «структур», которые их применяют. Полноценный «рассвет» таких технологий можно ожидать через год-полтора.

Но существуют и более «простые» варианты этого «жанра», которыми сейчас «облепленно» все. Наиболее понятный пример — специальные сканеры, которые стоят в местах массового скопления людей, и «высматривают» аномалии. Если этот «девайс» видит устройство, обозримые параметры которого не совпадают с теми, которые записаны в коде TAC его IMEI, он «поднимает флажок» и записывает инцидент.

Самый простой способ «попасться» подобным «девайсам» — использовать код TAC с сильно различными «параметрами» от вашего «оригинала». Пример — вы воспользовались популярным «способом» поменять IMEI на Google Pixel, и вместо кода TAC своей модели записали туда «цифры» последнего Apple iPhone. Обнаружить такую «связку» — детский сад.

Можно ли «подобрать» уязвимость для сотового модема конкретного телефона, зная лишь его IMEI?

Основы. Первые восемь цифр IMEI не являются уникальными — это номер TAC (Type Allocation Code), по которому можно сказать, какое устройство его носит. Например, IMEI начинающийся с 35220782 принадлежит к Google Pixel 9, и далее по аналогии.

Номер TAC используется как и государственными органами с непосредственным доступом к сотовой инфраструктуре, так и хакерами среднего «звена» с простым устройством «перехвата» для подбора вектора атаки. Особенно это «болезненно» для устройств с «хлипкой» изоляцией сотового модема, к коим относится большинство современных телефонов.

Отвечая на поставленный вопрос: да, можно.

Отходя от привычных «баранов», хотелось бы затронуть одну глубоко теоретическую тему: а безопасны ли «умные» медицинские импланты?

Начнем с «фундамента». Любой, даже самый защищенный «компьютер» не является полностью безопасным — даже если он использует «новейшие» технологии защиты. Никто не может гарантировать, что даже при «тяжелых» мерах противодействия, вроде полного «цикла» защит памяти (ARM MTE, PAC) и поверки каждого системного компонента на уровне «прожженного» BootROM компьютер будет оставаться «чистым». К тому же, существует великое множество способов получить информацию «не прикасаясь» к жертве вообще (см. TEMPEST, оно же наблюдение за электромагнитными утечками).

Даже самую «тяжелую» утечку информации из классического компьютера зачастую можно так или иначе пережить. Но что будет, если кардиостимулятор или чип с интерфейсом мозг-компьютер «утечет»?

Об этот «скромный» вопрос ломаются множественные обещания вернуть людям дееспособность путем установки в мозг миниатюрных компьютеров с беспроводными протоколами. Самый «понятный» пример из поп-культуры — чип Neuralink Илона Маска, который «общается» с телефоном «пациента» по протоколу Bluetooth. Само описание «работы» устройства уже вызывает «тьму» вопросов; почему именно Bluetooth? Нельзя было найти протокол с меньшими помехами, большей пропускной способностью, и безопасностью сильнее «разбитого лобового стекла»?

Смоделировать атаку на такой чип исключительно просто; атакующий отправляет «зловредные» пакеты на статический MAC-адрес чипа Neuralink, после чего «провоцирует» ту или иную уязвимость в радио. С этого момента все «индивидуально» — если хочется, можно атаковать через DMA, если не хочется — другим способом. Опровергнуть данный сценарий возможно только с помощью диаграммы внутренней структуры чипа, из которой будет понятно, что память радио изолированна от остальной системы.

Для чего это может быть использовано? Как минимум, для прогнозирования действий, как максимум — «чтения мыслей». Из-за этого риск применения «умных» устройств в медицине экспоненциально выше — вопрос стоит о жизни человека, что, однако, несколько дороже, чем материальная и репутационная безопасность.

Сейчас принято винить идентификаторы сотового модема (IMSI и IMEI) в возможности отследить любой телефон. В связи с этим, стоит задаться вопросом: а так ли оно на самом деле?

Основы. Отчасти это действительно так, ведь IMEI можно поменять «со скрипом» только на узком круге устройств (например, модели Google Pixel с модемом Samsung Shannon). Тем не менее, люди адаптировались, и этот «традиционный» метод перестал быть эффективным, что дало ход новым «разработкам».

Под упомянутыми «разработками» я подразумеваю отслеживание по чипам WiFi и Bluetooth, в том числе по их уникальному «поведению». Даже если постоянно изменять адреса MAC, поведение чипа остается прежним — то, каким образом чип совершает «рукопожатия», отправляет разные технические пакеты, а также характеристики его радио могут рассказать о многом.

Выглядит это следующим образом; «автоматика» наблюдает за определенным устройством X, у которого активен WiFi/Bluetooth. Через некоторое время, можно будет «наверняка» сказать, кто произвел радио (Qualcomm/MediaTek/Samsung). Используя «ручной» анализ, также можно определить, какая модель чипа используется.

Отвечая на поставленный вопрос: нет, это ложное представление. В перспективе традиционные методы заменят новые «инновации», полный «расцвет» которых можно будет наблюдать уже через пару лет.

Взлом сотовых чипов стоит «особняком» только по причине «любви» к нему государственных «хакеров». На самом деле, любой радио-чип — потенциальная «точка входа», о чем говорится крайне редко.

Пожалуй, наиболее «понятный» пример — чип Bluetooth. Несмотря на общую «тупость» и проблемы с безопасностью в протоколе Bluetooth, он используется повсеместно — даже в устройствах, «попасть» в которые «традиционными» методами не представляется возможным. Единственное, что отличает его от сотового модема — радиус «поражения».

Разумеется, это также применимо к чипам WiFi, UWB и подобным им. То, что каждый отдельный чип имеет свое уникальное «поведение» мы сейчас опустим, ведь об этом готовится отдельный разбор.

Говоря о запрете звонков в мессенджерах, необходимо затронуть одну важную теоретическую тему: а может ли государство использовать сотовые вышки для взлома напрямую?

Перед тем, как ответить, необходимо обратиться к «основам» — у каждого устройства с сотовым функционалом есть специальный модем, он же Baseband Processor. Через него проходят все звонки и СМС, а также сотовый интернет. При этом, он общается с потенциально «враждебной» инфраструктурой напрямую, т. е. является «лакомым» вектором атаки.

Всякий чип может быть взломан при сильном «желании», и данный случай отнюдь не исключение — ввиду того, что Baseband «делит» память с Application Processor, т. е. основным чипом системы, его можно использовать для получения разного рода «секретов» и всего остального зоопарка атак DMA [Direct Memory Access]

Смоделировать подобный «сценарий» очень просто: атакующий в «привилегированной» позиции, т. е. оператор и/или государство отправляет «специальный» пакет LTE/UMTS на телефон жертвы. Для наглядности за пример возьмем Samsung Galaxy S9; Baseband Processor этой модели имеет четыре критических уязвимости, которые позволяют начать выполнять код, после чего «трогать» память системы. Так как S9 не имеет какой-либо изоляции памяти, «цена» вопроса — пара минут.

Отвечая на заданный вопрос — да, и даже с «ветерком».
Защититься от этого нельзя, но LTE-Only mode в GrapheneOS сильно портит «жизнь» тем, кто такие атаки использует.